Seit zwei Jahren stellt DORA die Finanzbranche vor Herausforderungen. Seit dem 17.01.2025 greift die vieldiskutierte Verordnung und der erste Praxistest wird weiteren Diskussions- und Anpassungsbedarf bringen. Zeit für eine erste Bilanz: War die Umsetzung erfolgreich? Konnte sie es überhaupt sein? Und kann DORA die eigenen Ziele erfüllen?
Artikel von:
Christian Brockhausen, MBA
Associate Partner bei Wavestone
Seit dem 17. Januar 2025 greift die DORA-Verordnung der Europäischen Union (EU). Der Digital Operational Resilience Act soll die Cybersicherheit des Finanzsektors erhöhen sowie dessen digitale, operationale Widerstandsfähigkeit verbessern. Dafür schreibt DORA vor, dass alle Unternehmen, die in der EU im Finanzsektor tätig sind – darunter Banken, Versicherer, Investmentgesellschaften und Zahlungsdienstleister – robuste, wirksame und angemessene Mechanismen zur Identifikation, Überwachung und Bewältigung digitaler Risiken implementieren müssen.
Monatelang hat die Branche die knappen Umsetzungsfristen und die – aus ihrer Sicht – überzogenen Anforderungen kritisiert. Teilweise zurecht. Denn DORA hat sehr viel in begrenzter Zeit gefordert. Aufgrund der Rechtsform einer Verordnung war die Umsetzungsfrist auf zwei Jahre begrenzt. Heute lässt sich zweifellos sagen, was bereits vor zwei Jahren zu vermuten war: Die Zeit reicht nicht aus. Zumindest vielfach nicht. Der Aufwand, den DORA nötig gemacht hat, war und ist immens. Kaum ein Unternehmen wird mit 17. Januar DORA in Gänze erfüllen. Im Gegenteil werden einige Unternehmen ihre Umsetzungsprojekte erst in zwei oder drei Jahren abschließen. Überraschend kommt das inzwischen nicht mehr. Die nationalen und europäischen Aufsichtsbehörden haben bereits signalisiert, dass nicht mit einer vollständigen Umsetzung durch alle Unternehmen zu rechnen ist.
Stufenweise Einführung hätte viele Vorteile gehabt
DORA ist komplex und stellt vor allem kleine und mittlere Unternehmen vor große Herausforderungen. Zwar gibt es einen Proportionalitätsansatz, doch dieser entlastet kleinere Unternehmen kaum. Große Unternehmen kämpfen hingegen mit ihrer gewachsenen, oft verschachtelten IT-Struktur. Eine stufenweise Einführung, etwa durch Priorisierung einzelner Bereiche wie Provider-Management, hätte vieles erleichtert.
Dora wurde von allen Akteuren unterschätzt
Zur Wahrheit gehört aber auch, dass das Problem nicht nur in Brüssel lag. DORA wurde auf allen Seiten unterschätzt – auch von den Unternehmen. Als vor etwa vier Jahren die ersten Entwürfe zu DORA vorlagen, war bereits absehbar, dass die Verordnung eine sehr große Herausforderung bedeuten würde. Dennoch haben viele Unternehmen sich zu spät damit auseinandergesetzt und sich nicht entsprechend vorbereitet. Einige Unternehmen haben erst 2024 mit der Gap-Analyse begonnen, manche tatsächlichen Umsetzungsprojekte starten erst 2025.
Derzeit verfolgen viele Unternehmen die Strategie, nur die zwingend notwendigen Anforderungen von DORA umzusetzen. Eine häufige Haltung lautet: abwarten, bis eine Prüfung erfolgt und mögliche Beanstandungen formuliert werden. Bis dahin bleibt der Fokus auf der Erfüllung der Mindestvorgaben. Diese Herangehensweise birgt jedoch Risiken, da bislang unklar ist, wie die Prüfer – und damit auch die Aufsicht – die Umsetzung letztlich bewerten werden. Schließlich stellt DORA aber auch für die Aufsicht eine große Herausforderung dar. Schließlich müssen entsprechende Meldemöglichkeiten aufsichtsseitig bereitgestellt werden. Der deutschen Aufsicht, also der BaFin, muss jedoch zugutegehalten werden, dass sie mit einer eigenen DORA-Website, einer FAQ-Sektion und mehreren Veranstaltungen umfassend informiert hat. Zudem hatte man mit z.B. den Versicherungsaufsichtlichen Anforderungen an die IT, abgekürzt VAIT, Verwaltungsvorschriften erlassen, die bereits einen nicht unwesentlichen Anteil der DORA – Anforderungen enthielten.
Eindeutiger Bedarf wird adressiert
Das Ziel von DORA ist lobenswert. Das Thema Cybersicherheit ist zentral für die Zukunftsfähigkeit von Unternehmen. Aber ob DORA die Unternehmen selbst tatsächlich sicherer macht, könnte bezweifelt werden. Zumindest teilweise. Das Thema Cybersecurity ist ohnehin bereits seit Jahren relevant und es wird auch ohne DORA weiter relevant bleiben. Unternehmen, die sich hier nicht entsprechend aufstellen, sind mittelfristig nicht mehr wettbewerbsfähig. Vor diesem Hintergrund haben Unternehmen in den vergangenen Jahren bereits viel in die eigene Resilienz und Sicherheit investiert. Themen wie Verschlüsselungskonzepte, Rollen- und Berechtigungskonzepte sind für viele Unternehmen bereits Standard. Mit DORA müssen sie Maßnahmen wie diese nun massiv ausweiten. Ob das die Sicherheit im selben Maße erhöht, ist fraglich. Es wäre möglicherweise deutlich effizienter gewesen, in gewissen Bereichen der Regulierung stärker auf Marktmechanismen zu vertrauen, statt eine derartige umfassende Regulierung zu schaffen, die teilweise eine Überregulierung ist.
An einem Punkt erfüllt DORA die eigene Aufgabe jedoch sehr gut: beim sogenannten IKT-Drittparteienrisiko. Hier wurde ein Bedarf erkannt. Dieser wird mit DORA adressiert. Das ist gut so. Denn dank DORA werden die Drittdienstleister des Sektors künftig-europäisch und national auch aufsichtsseitig überwacht und bewertet. Damit wird zum ersten Mal sichtbar, welche Dienstleister kritisch sind – kritisch beispielsweise im Sinne von: Sie sind für sehr viele Unternehmen tätig. Welche Risikopotenziale das hat, wurde bei dem CrowdStrike-Vorfall überdeutlich. Ein fehlerhaftes Update dieses Dienstleisters sorgte weltweit millionenfach für IT-Ausfälle. Um solche Risiken frühzeitig zu identifizieren, setzt DORA an der richtigen Stelle an.
Die nächste Herausforderung wartet schon
DORA ist nun Realität – und wird es bleiben. Der erste Praxisdurchlauf wird zeigen, wo Nachbesserungsbedarf besteht. Schon jetzt zeichnet sich ab, dass einige Vorgaben präzisiert und bestimmte Regelungen nachgeschärft werden dürften. Die Umsetzung dieser Änderungen dürfte weiterhin Herausforderungen bedeuten. Unternehmen dürfen sich jetzt dennoch nicht darauf verlassen, dass weiter verzögert wird. Es gilt, DORA best- und schnellstmöglich umzusetzen. Denn für die IT-Abteilungen kündigt sich die nächste große Herausforderung bereits an: Mit FiDA wartet am Horizont eine neue Verordnung, die teilweise noch umfangreichere technische Anforderungen mit sich bringt. Der Druck wächst – und mit ihm die Notwendigkeit, rechtzeitig vorbereitet zu sein.
Den gesamten Beitrag lesen Sie in der AssCompact Februar-Ausgabe!
zurück zur Übersicht
Beitrag speichern
sharing is caring
Das könnte Sie auch interessieren
